ISO 27001 et cybersécurité

Certification ISO 27001 : quel intérêt pour votre stratégie de cybersécurité ?

La sécurité des données sensibles relève d’un objectif central pour les entreprises françaises soumises au règlement général sur la protection des données (RGPD). Si ce règlement relève de l’obligation, la norme ISO 27001 n’est quant à elle pas obligatoire. De nombreuses sociétés s’en servent pourtant pour sécuriser leurs informations. Cette norme rassure aussi leurs clients quant à l’intégrité de leurs données confidentielles, dans le contexte propre à 2021 où la cybersécurité est un enjeu vital pour les entreprises.

C-RiskC-Risk

Publié le 25 juin 2021 12:27 (Mise à jour le 1 décembre 2021 14:55)

Cette norme internationale recoupe effectivement différents atouts. En plus de rationaliser l'organisation interne de l'entreprise en vue d’une meilleure protection des données, elle permet aussi d’améliorer sa réputation. Le secteur du numérique français l’a massivement adoptée, tant qu’il devient presque difficile de ne pas s’y conformer. À quoi correspond précisément la certification ISO/IEC 27001 ? Comment se déroule la procédure de conformité ? Quels sont ses avantages et ses inconvénients pour votre organisation ?

Comment différencier une norme d’une certification, ou d’une réglementation ?


Entre norme, réglementation, label et certification, comment s’y retrouver ? Les pouvoirs publics créent la réglementation, elle a donc valeur légale. Elle s’impose ainsi aux entreprises, ce qui la différencie des normes. Les normes s’appliquent volontairement, pour prouver un niveau de sécurité ou de qualité.

Norme et certification

Il y a de nombreuses normes ISO comme l’ISO 27001, l’ISO 9001 ou encore l’ISO 14001. Ces normes se définissent comme des documents de référence, émis par des instituts de normalisation. Parmi ces instituts, l'organisation internationale de normalisation, ou International Organization for Standardization (ISO), ou encore l’AFNOR, l’association française de normalisation. Les normes n’ont cependant pas de caractère obligatoire. Les entreprises s’en servent pour incarner leur engagement en termes de qualité, ou de sécurité.

La norme est intimement liée au concept de certification. La certification s’appuie effectivement sur des normes pour être prononcée. Une entreprise certifiée ISO 27001 a donc appliqué la norme ISO 27001, c’est-à-dire les protocoles qui optimisent son système d’information. Cette société se plie ainsi volontairement à la norme référence en matière de système de management de la sécurisation des données informatiques. C’est un organisme accrédité qui vérifie sa conformité à la norme, ainsi que sa capacité à rester conforme dans le temps.

La réglementation

En ce qui concerne les réglementations, ce sont les autorités administratives qui les émettent. Il peut s'agir de l'État, du Sénat, ou encore de collectivités locales. Dans tous les cas, la réglementation relève de la loi, et elle s’impose légalement aux entreprises.

Le respect de la réglementation est un pré-requis pour assurer sa conformité à une norme. Dans le cas de la norme ISO 27001, par exemple, les sociétés françaises doivent respecter la réglementation en matière d'information pour pouvoir prétendre à une certification ISO 27001. Elles doivent notamment se plier au règlement général sur la protection des données (RGPD).

Le label

Les labels sont moins exigeants que les réglementations et normes. Ils peuvent effectivement être émis par des organismes publics, comme par des structures privées. Beaucoup moins encadrés que les certifications, ils ne prouvent pas toujours le sérieux de l’entreprise qui s’y plie. La fiabilité des labels varie effectivement selon les organismes qui les émettent.

En matière de cybersécurité, il existe de nombreux labels français. Le label France Cybersecurity se distingue ainsi parce qu’il relève du plan Cybersécurité piloté par l’Agence nationale de la sécurité des systèmes d'information (Anssi). Le label Expert Cyber, destiné à valoriser les professionnels de la sécurité informatique, est tout aussi fiable, vu que développé par Cybermalveillance.gouv.fr.

La norme ISO 27001 : c’est quoi ?


ISO/IEC 27001 relève en réalité d’une famille d’une douzaine de normes censées assurer la sécurité des informations sensibles manipulées par les entreprises.

Définition de la norme ISO/IEC 27001

L’organisation internationale de normalisation estime que la norme ISO/IEC 27001 est la plus connue des normes sur la sécurité des informations. Ce texte a pour particularité de préciser “les exigences relatives aux systèmes de management de la sécurité des informations (SMSI)”.

L’ISO affirme ainsi que la mise en œuvre de ISO 27001 doit faciliter le management de la sécurité des “actifs sensibles”. Il peut s'agir de données financières, d'informations sur le personnel, de fichiers relatifs à la propriété intellectuelle, ou de données sur vos partenaires commerciaux. Répondre aux exigences de cette norme doit donc permettre à l’entreprise de se prémunir de toute perte, vol ou altération de ses données confidentielles et des risques associés éventuels.

Comme toutes les normes, ISO/IEC 27001 n’est pas une obligation pour les entreprises françaises. Elle est cependant particulièrement utile pour assurer la cybersécurité de ses processus. Certaines sociétés s’en servent aussi pour prouver à leurs clients et prospects leur engagement en matière de cybersécurité.

Dans le détail, la norme ISO 27001 entend protéger la sécurité informatique des entreprises en les préservant des risques cyber :

  • elle précise les protections informatiques et techniques envisageables ;
  • elle prévient les risques d’intrusion et de sinistre dans les systèmes informatiques ;
  • Cette norme diffuse aussi de bonnes pratiques organisationnelles.

L’ensemble de ce terrain d’action relève dudit SMSI. Il s’applique à la fois aux systèmes d’information et aux processus et personnes concernées par la cybersécurité. Il constitue ainsi un outil performant de gestion des risques et d’anticipation des failles de cybersécurité.

SMSI et norme ISO 27001

Comment s’obtient cette norme de sécurité des SMSI ?

Pour être certifiée ISO 27001, une entreprise doit se soumettre à plusieurs démarches :

  1. Définir précisément le périmètre de son SMSI ;
  2. Réaliser une étude des risques pour les données sensibles de l'entreprise ;
  3. Déterminer la probabilité et l’impact de chacun de ces événements éventuels, par exemple grâce à une cartographie des risques ;
  4. Concevoir un “Plan de Traitement du Risque” en fonction de cette cartographie ;
  5. Rédiger une “Déclaration d’Applicabilité” : un document qui incarne l’engagement de la direction générale en faveur de ces mesures de cybersécurité ;
  6. Décliner le Plan de Traitement du Risque en plan d’actions, en prévoyant des indicateurs de performance et des mises à jour régulières au cours du cycle de vie du SMSI.

Qui délivre la certification ISO 27001 ?

Contrairement à ce qu’on pourrait penser, ce n’est pas l’International Organization for Standardization qui délivre les certifications ISO. La conformité à ISO 27001 relève de la décision d’un organisme certificateur accrédité, à la suite de son audit de votre entreprise. C’est donc cet organisme qui décide des modalités d'évaluation.

En France, l’organisme certificateur le plus connu est le COFRAC, soit le Comité français d’accréditation. Le ministère du travail, de l’emploi et de l’insertion publie également une liste des principaux organismes certificateurs français. Quel que soit celui qui réalise la certification ISO 27001, celle-ci n’est valable que 3 ans. Après ce délai, un audit de contrôle doit être effectué tous les ans.

Certification ISO 27001 et organismes certificateurs

Pourquoi être certifié ISO 27001 ?


Mettre en place la norme ISO 27001 apporte différents bénéfices pour votre entreprise, notamment en matière de sécurité informatique. Elle assure la sécurité de vos données et vous prémunit des pertes financières liées au vol d’informations confidentielles. Elle reste cependant complexe à appréhender et à appliquer.

Avantages de la certification ISO/IEC 27001

Le principal avantage de la norme ISO 27001 consiste à assurer à l'entreprise qui l'applique un système de cybersécurité efficace. Cette certification fournit effectivement un cadre à la protection des systèmes d’information. Elle fournit aussi des protocoles adaptables sur-mesure pour rentabiliser les coûts liés à la sécurité informatique. Cette certification a cependant d’autres bénéfices :

  • Il s’agit d’un atout marketing indéniable, qui rassure les clients et les parties prenantes. La mise en œuvre d'un SMSI certifié ISO 27001 donne un avantage concurrentiel indéniable aux entreprises qui l’adoptent. De quoi vous démarquer aux yeux de vos prospects, et assurer la réputation de votre société.
  • Le fait de rassurer la clientèle permet aussi de réduire le nombre d’audits externes menés par les clients. Vous profitez à l'inverse d’audits internes réguliers de votre SMSI. Ceux-ci garantissent la bonne évolution de vos process de cybersécurité. Un auditeur externe apprécie par ailleurs l’efficacité de vos mesures de protection des informations une fois l’an.
  • Si cette norme ne relève pas de l’obligation, la protection des données est, elle, largement réglementée en France. Votre entreprise doit notamment assurer sa conformité à des réglementations telles que le RGPD ou la Directive sur la sécurité des réseaux et des systèmes d’information. S’assurer une conformité à ISO 27001 permet onc de limiter les risques financiers liés aux violations de données personnelles et autres actifs informationnels.

Des inconvénients à cette norme de sécurité des informations ?

Les experts de la cybersécurité émettent une série de critiques à l’égard de la norme ISO 27001. D’aucuns déplorent que certaines entreprises s’en servent avant tout comme argument marketing, plus que comme moyen de rationaliser la cybersécurité des données. Cette démarche aboutirait à des applications plus ou moins sérieuses des protocoles et des mesures de prévention détaillées par ISO/IEC 27001.

D’autres estiment que la norme reste très complexe, autant dans son texte que dans son application. Chronophage, elle pourrait inciter les équipes concernées à enfreindre les règles pour gagner du temps. La norme ISO 27001 a effectivement l’inconvénient de se contourner facilement une fois maîtrisée.

Pourquoi la certification ISO 27001 bénéficie-t-elle à votre stratégie de cybersécurité ?


Toutes les entreprises dont la sécurité des informations représente un atout stratégique devraient s'intéresser à la norme ISO 27001, grands groupes comem petites et moyennes entreprises.

Une hausse franche des cyberattaques orientées données sensibles

Les entreprises françaises sont de plus en plus concernées par les cyberattaques qui visent les données confidentielles. Il peut s’agir de mails piégés, comme les tentatives de hameçonnage, ou de virus espions, qui relèvent eux du malware. Vous pouvez aussi être la victime d’un ransomware : un vol de données sensibles en échange d’une rançon. Selon l'ANSSI dans son "État de la menace aux rançongiciels”, ces attaques se sont multipliées par 4 de 2019 à 2020.

Cette cyberdélinquance ciblée sur l’intégrité et la confidentialité de l’information est amenée à croître. La cybercriminalité se professionnalise. Les pirates informatiques savent que les entreprises se forment davantage aux cyberrisques, et qu’elles sont aussi prêtes à dépenser plus pour assurer la sécurité de leurs données. Les enjeux en termes de réputation et de valeur financière des entreprises sont effectivement conséquents.

cyberisques liés aux données sensibles

Toutes les entreprises concernées, TPE et PME comprises

Contrairement à une idée largement véhiculée, les entreprises du CAC 40 ne sont pas les seules victimes des hackers. Parmi les petites et moyennes entreprises (PME) françaises de moins de 50 salariés, 4 sur 10 ont déjà subi une ou plusieurs attaques informatiques, selon une enquête de la CPME. Mieux préparés aux cybercrimes, les grands groupes se remettent plus vite du vol de données que les PME ou très petites entreprises (TPE).

Les sommes que les pirates réclament en échange de données volées peuvent par ailleurs considérablement affaiblir la structure budgétaire d’une petite entreprise. Le grand groupe arrive quant à lui souvent à se relever de l'extorsion de ses informations.

Une norme exhaustive pour assurer l’intégrité des données

C’est cet ensemble de risques que la norme ISO 27001 doit vous permettre d’éviter. Adoptée par 152 entreprises en 2012, elle concernait 37500 sites en 2017. Un chiffre qui ne cesse de croître, et qui va bientôt s’imposer comme une normalité pour le secteur du numérique et du conseil en cybersécurité.

La norme ISO/IEC 27001 recoupe effectivement 114 mesures de sécurité. Une exhaustivité qui doit vous permettre de ne sous-estimer aucun risque pour la sécurité de vos informations. En 2021, il s’agit donc d’un des guides de cybersécurité les plus efficaces pour assurer l'intégrité, la disponibilité et la confidentialité des données.

Questions sur la norme ISO 27001

ISO/IEC 27001 est une norme internationale qui porte sur la sécurité des systèmes de management de la sécurité des informations (SMSI).

Cette norme permet à l’entreprise de rationaliser ses procédures de protection des données sensibles. Elle prévient la perte, le vol et l’altération de ses informations, en plus de protéger les systèmes d’informations de l’intrusion et des sinistres. Elle aide aussi à améliorer la réputation de l’entreprise en matière de cybersécurité.

La certification à la norme ISO 27001 implique de se soumettre à un certain nombre de procédures, dont une analyse des risques, un Plan de Traitement du Risque et une Déclaration d’Applicabilité. La certification dépend ensuite de l’évaluation de l’organisme certificateur.